Introducción
A continuación procederé a definir los elementos de la
estructura física y lógica del servicio
de directorio Active Directory explicando su propósito, así como también, y definir el modo en que la estructura lógica
y física de Active Directory funciona conjuntamente
para satisfacer las necesidades organizativas.
En Active Diretory la estructura física es
independiente y distinta de la lógica. Como podemos comprobar en la siguiente
imagen que muestro a continuación:
Estructura Física de Active Directory
 |
La estructura física de Active Directory define cunado y donde se produce el tráfico de inicio de sesión y de replicación. Abarca la configuración de la red, los dispositivos y el ancho de banda de red. Si nuestra red tiene oficinas en distintos sitios y están conectados a través de internet por ejemplo, necesitamos replicar los datos del directorio activo: recursos, usuarios, grupos, de modo que las réplicas van a mantener la coherencia de los objetos de nuestra red en los distintos sitios.
Los
elementos de la estructura física del Directorio Activo son los siguientes:
Ø Subredes:
son simplemente las subredes IP que tendremos en cada sitio. En un sitio
incluso podríamos tener más de una subredes IP. Lo que sí debemos tener en
cuenta es que no podemos usar la misma subred IP en diferentes Sitios ya que de
esa forma no funcionarían los Routers. Esta información de Subredes es la que
permite conocer al sistema en qué sitios está cada máquina
Ø Sitios
del Directorio Activo: Son un grupos de equipos conectados, por ejemplo a
las distintas plantas o delegaciones de una empresa y pertenecen al dominio
principal.
Una vez establecidos los sitios los
controladores de dominio dentro de un sitio, se comunicación con frecuencia,
esta comunicación reduce la latencia dentro del sitio. La latencia es el tiempo
necesario para que un cambio efectuado en un controlador de dominio se replique
en otros.
Los sitios se crean para, optimizar
el uso del ancho de banda entre los controladores de dominio separados
físicamente.
Podemos configurar controladores de
dominio en sitios independientes que pueden estar vinculados mediante formas de
comunicación más lenta para comunicarse solo en horarios programados.
Generalmente, este tráfico de
replicación se programa de modo que repercuta mínimamente en el resto del
tráfico de la red.
Una organización debe planear tanto
la estructura lógica como la física para satisfacer sus necesidades.
Por
ejemplo si tenemos una organización que solo necesita un dominio pero tenemos
oficinas en todo el mundo, podemos decir crear varios sitios para mantener el
tráfico de inicio de sesión y de replicación dentro del sitio. En este caso
podemos configurar la replicación entre los sitios de manera que se produzca en
las horas en la que el resto del tráfico de la red sea más leve.
Si
todos los empleados de la organización trabajan en una ubicación pero en
departamentos que requieren de directivas y una seguridad diferente, podemos
decidir crear varios dominios en un sitio.
O
bien si la organización tiene varias ubicaciones con más de un dominio
representado en cada una, podemos optar por cambiar crear varios sitios que
dispongan de al menos de un controlador de dominio de cada dominio requerido en
cada sitio .Por lo que, controla la replicación de los datos de la base de dato
del directorio Activo y aplicar distintas directivas dependiendo solo de su
ubicación física.
Ø Controladores de Dominio: son
servidores ejecutado por ejemplo en Windows Server 2008 o Windows Server 2012
que mantienen la base de datos del Active Directory. Realizan funciones de
almacenamiento y replicación, y solo pueden contener un dominio. Para asegurar
una disponibilidad continua del Directorio Activo, cada dominio debe tener más
de un Controlador de Dominio.
Cada
Controlador de Dominio contiene las siguientes particiones:
§ Particiones del dominio:
contienen las réplicas de todos los objetos en ese dominio. Esta partición se
replica solamente a otros Controladores de Dominio del mismo dominio.
§ Particiones de configuración:
contienen la topología del bosque. La topología que es el esquema de conexión
de los sitios, registra todas las conexiones de los controladores de dominio en
el mismo bosque.
§ Particiones del esquema:
contiene el esquema del bosque. Cada bosque tiene un esquema para que la
definición de cada clase del objeto sea única. Las particiones de configuración
y esquema se replican en cada Controlador de Dominio del bosque.
§ Particiones de aplicaciones:
contienen los objetos relacionados a la seguridad y se utilizan en las
aplicaciones. Se replican en Controladores de Dominio especificados en el bosque.
A
continuación muestro un resumen de las particiones que contiene cada
controlador de dominio:
Catalogo
global: es
un servidor que almacena una copia completa de todos los objetos del directorio
para su dominio host y una copia parcial de solo lectura de todos los objetos
del resto de dominios del bosque. Proporciona autentificación del nombre
principal del usuario e información pertenecientes a grupos universales en un
entorno de varios dominios. Estructura Lógica de Active Directory
Se
centra en la administración de los recursos de la red organizativa,
independientemente de la ubicación física de dichos recursos, y de la topología
de las redes subyacentes.
Los
componentes de la estructura lógica del Directorio Activo son:
Ø Objetos:
son los componentes básicos de la estructura lógica, representan a usuarios y
recursos como equipos e impresoras. Las clases de objetos son esquemas, o plantillas, de los tipos de objetos que
podemos crear en Active Directory.
Cada objeto de active directory se
define de forma única mediante la combinación de los valores de sus atributos. Los
atributos definen los valores posibles que se pueden asociar a un objeto.
Cada objeto de active directory se
define de forma única mediante la combinación de los valores de sus atributos. Los
atributos definen los valores posibles que se pueden asociar a un objeto.
Por ejemplo cada objeto que
representa un usuario específico se basa en una clase de objeto. Para crear un
objeto de usuario debe tener una clase de objeto de usuario para usarla como
plantilla. Las clases y los atributos de objetos se conocen en conjunto como el
esquema de active directory.
Los objetos se definen de forma única
mediante los valores asignados a los atributos que contiene la clase de objeto.
Puesto que active directory almacena
la información acerca de los objetos como
valores de atributos, los usuarios y las aplicaciones pueden encontrar
fácilmente los objetos asociados con valores de atributos específicos. Por
ejemplo un usuario puede buscar la impresora que está más próxima a su mesa, si
busca una impresora cuyo edificio y ubicación coincidan con la planta del
edificio donde el usuario trabaja.
Ø Unidades
organizativas: son objetos contenedores que se usan
para organizar otros objetos con propósitos administrativos, por ejemplo
dividir la empresa en departamentos. Organizando éstos es más fácil localizar y
administrar objetos. Con esto, podríamos delegar la autoridad para administrar
estas unidades organizativas de manera que podemos tener administradores de
cada uno de ellas.
Ø Dominios:
son unidades funcionales claves de la estructura lógica de Active Directory,
son colecciones de objetos administrativos definidos, que comparten una base de datos común de directorio,
políticas de la seguridad y relaciones de confianza con otros dominios. Los
dominios proporcionan las tres funciones siguientes:
§ Actúan
como límite administrativo para los objetos
§ Ayudan
a administrar la seguridad para los recursos compartidos
§ Una
unidad de réplica para los objetos.
Es habitual ubicar objetos en el
mismo dominio si deseamos compartir una directiva de seguridad común o sean
administrados por el mismo administrador de sistemas. También podemos usar
dominios para administrar la seguridad en recursos compartidos. Las directivas
de seguridad se crean en los dominios y proporcionan una seguridad coherente en
los recursos del dominio. Los objetos de cada dominio se almacenan en la
partición del
dominio de la base de datos de Active
Directory. Los equipos que se le denomina controladores de dominio almacenan
copias o replicados de la partición del dominio. Estos replicados se actualizan
automáticamente entre sí, cuando se efectúan cambios, de modo que la
información de cada replicado de la partición del dominio sea coherente.
Ø Arboles de dominios:
son dominios agrupados en estructuras jerárquicas. Cuando se agrega un segundo
dominio a un árbol, se convierte en hijo del dominio raíz. El dominio al cual
un “dominio hijo” se une llamado “Dominio Padre”.
El dominio hijo a su vez puede tener
sus propios hijos, combinándose con el nombre de su padre para formar su propio
y único nombre. Por ejemplo “ventas.miempresa.com” “ventas” sería un dominio
hijo del principal “miempresa.com”.
Ø Bosque:
un bosque es un conjunto de uno o varios dominios de Active Directory que
comparten una estructura lógica, un esquema del directorio (definiciones de
clase y atributo), una configuración de directorio (información de replicación
y del sitio) y un catálogo global (capacidades de búsqueda en todo el bosque)
comunes.
